Найти в Дзене
AiNOWA
20 подписчиков

152-ФЗ и AI - как не нарваться на 18 млн штрафа

7
3 мин
С июля 2025 всё серьёзно Помните времена, когда можно было просто отправить данные клиентов в облако Amazon или Google? Забудьте. С июля 2025 года в 152-ФЗ прямой запрет: персональные данные россиян нельзя обрабатывать в базах данных за пределами РФ. Штраф - до 18 млн рублей. Но как это работает с AI? Ведь когда вы обучаете модель или отправляете запрос в ChatGPT, данные уходят на серверы. Разбираемся по шагам. Что считается персональными данными в контексте AI? Точно ПД (осторожно!): ФИО клиента в запросе к нейросети Email, телефон в обучающей выборке Адреса, паспортные данные История покупок конкретного человека Медицинские данные, биометрия Серая зона: Обезличенные данные (но легко деанонимизируемые) Поведенческие паттерны отдельных пользователей IP-адреса и cookie в связке с другими данными Не ПД: Агрегированная статистика без привязки к личности Полностью анонимизированные датасеты Синтетические данные Где AI-проекты нарушают закон (проверьте себя) Сценарий 1: Обучение моделей н
Оглавление

С июля 2025 всё серьёзно

Помните времена, когда можно было просто отправить данные клиентов в облако Amazon или Google? Забудьте. С июля 2025 года в 152-ФЗ прямой запрет: персональные данные россиян нельзя обрабатывать в базах данных за пределами РФ. Штраф - до 18 млн рублей.

Но как это работает с AI? Ведь когда вы обучаете модель или отправляете запрос в ChatGPT, данные уходят на серверы. Разбираемся по шагам.

Что считается персональными данными в контексте AI?

Точно ПД (осторожно!):

  • ФИО клиента в запросе к нейросети
  • Email, телефон в обучающей выборке
  • Адреса, паспортные данные
  • История покупок конкретного человека
  • Медицинские данные, биометрия

Серая зона:

  • Обезличенные данные (но легко деанонимизируемые)
  • Поведенческие паттерны отдельных пользователей
  • IP-адреса и cookie в связке с другими данными

Не ПД:

  • Агрегированная статистика без привязки к личности
  • Полностью анонимизированные датасеты
  • Синтетические данные

Где AI-проекты нарушают закон (проверьте себя)

Сценарий 1: Обучение моделей на реальных данных

Вы собрали базу обращений клиентов для обучения chatbot. В данных - имена, email, история переписки. Загрузили в Google Colab для обучения. Это нарушение. Данные ушли на серверы Google за границу.

Решение: Используйте Yandex DataSphere, ML Space или разворачивайте собственную инфраструктуру в РФ.

Сценарий 2: ChatGPT для анализа клиентских запросов

Менеджер копирует переписку с клиентом в ChatGPT, чтобы сформулировать ответ. В переписке - имя, контакты, детали заказа. Это нарушение. Данные на серверах OpenAI в США.

Решение: GigaChat или YandexGPT с корпоративным аккаунтом. Или - требуйте от сотрудников удалять ПД перед отправкой.

Сценарий 3: API к иностранному сервису

Ваш сайт использует AI-рекомендации через API к зарубежному провайдеру. В запросах передается user_id + история покупок. Возможное нарушение, если можно идентифицировать пользователя.

Решение: Переходите на российские аналоги или используйте хеширование + анонимизацию.

Чек-лист соответствия 152-ФЗ для AI-проектов

Этап 1: Инвентаризация

  • Составьте список всех AI-систем в компании
  • Определите, какие данные они обрабатывают
  • Выясните, где физически хранятся и обрабатываются данные
  • Проверьте договоры с подрядчиками - есть ли пункт про локализацию?

Этап 2: Правовая защита

  • Обновите политику конфиденциальности
  • Добавьте согласия на обработку ПД для AI-систем
  • Зарегистрируйте базы данных в Роскомнадзоре (если требуется)
  • Назначьте ответственного за ПД

Этап 3: Технические меры

  • Псевдонимизация данных до обучения моделей
  • Differential privacy при обучении (добавление шума)
  • Federated learning (обучение без передачи данных)
  • Локальное развертывание моделей

Этап 4: Контроль

  • Логирование всех обращений к ПД
  • Регулярные аудиты систем
  • Обучение сотрудников работе с ПД в AI-системах

Техники безопасной работы с данными

1. Синтетические данные

Обучайте модели на искусственно созданных данных, которые статистически похожи на реальные, но не содержат ПД. Инструменты: Faker, SDV, Synthea.

2. Дифференциальная приватность

Добавляйте "шум" в данные так, чтобы модель работала, но извлечь информацию о конкретном человеке было невозможно.

3. Федеративное обучение

Модель обучается на данных пользователей, но сами данные не покидают их устройства. Только обновления весов модели передаются на сервер.

4. Локальные LLM

Разворачивайте open-source модели на своих серверах в РФ. Llama 2, ruGPT, GigaChat Enterprise - есть варианты.

Когда можно передавать данные за границу?

Только при наличии явного согласия субъекта ПД. Но для этого нужно:

  • Уведомить Роскомнадзор
  • Убедиться, что страна обеспечивает адекватный уровень защиты
  • Получить письменное согласие от каждого пользователя

На практике для коммерческих AI-проектов это нереально.

План действий на эту неделю

День 1-2: Проведите аудит всех AI-систем

День 3: Определите, где используются ПД

День 4: Выберите российские альтернативы

День 5: Запланируйте миграцию

Не ждите проверки Роскомнадзора. Штрафы реальные, прецеденты уже есть. Лучше потратить месяц на адаптацию сейчас, чем год на судебные разбирательства потом.

Главное: 152-ФЗ - это не враг инноваций. Это просто новые правила игры. И российские AI-платформы уже готовы помочь вам в них играть.